裘医生接诊了一位病毒受害者——王方。王方的《传奇》账户被黑客盗走,虽然通过努力取回了账户,但还是有很多昂贵的游戏装备消失了。因此,他怀疑电脑感染了病毒。在给他的电脑进行检测的过程中,裘医生发现电脑IE经常自动弹出网页。当他观察任务管理器时,发现有几个“iexplore.exe”进程和一些陌生进程(如:updaterun.exe)。www.sq120.com推荐文章这时,裘医生已经可以确诊,王方的电脑感染了死神下载者病毒。这是一个非常狡猾的病毒,会造成很多杀毒软件及个人防火墙软件无故退出。该病毒运行后会从黑客指定的网站下载其他的病毒及木马,下载的这些恶意程序会窃取用户的网络游戏账号、密码等信息,给用户的信息安全带来很大威胁。病毒档案死神下载者病毒可以通过邮件、恶意网站等途径传播,可以通过IE的漏洞对系统进行入侵。该病毒还可以在盘符下生成autorun.inf和可执行病毒文件,插入闪存就会被感染。由于该病毒采用的隐藏方式比较多,清理起来有些麻烦。快刀斩病毒裘医生自信满满地在王方的电脑上打开Process Explorer,首先观察到几个明显的病毒进程(如:117929271962.exe、902.exe、Updat erun.exe等),对它们都可以通过右键菜单命令“Properties”查看属性获得其路径(图1),然后通过右键菜单命令“Kill Process”杀除该进程,最后删除该进程文件。
进行以上操作后,裘医生发现了几个可疑的进程,貌似系统进程却可能是病毒的载体。于是,裘医生右键单击一个rundll32.exe进程选择“Properties”命令,果然发现它的Command line为“C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vxlu\ihve.dll,Service –s”。其实这就是运行了ihve.dll这个病毒程序的结果。右键单击该进程选择“kill Process”命令予以杀除,接着进入相应目录删除病毒文件。对另一个rundll32.exe进程和rundll2000.exe进程加载的病毒进行类似操作也是必要的。裘医生还发现系统启动了几个iexplore.exe进程,这些进程在做什么呢?右键单击其中一个IE进程选择“Properties”命令,发现它的Command line为“C:\Program Files\Internet Explorer\IEXPLORE.EXE“”,也就是调用IE连接“”这个网址(图2)以连接病毒下载网站和广告弹出网页。 对三个IE进程都进行“Kill Proc ess”命令操作予以杀除就可以了。
病毒隐身照样杀以上操作还是不能保证重新启动后,系统不被隐藏极深的病毒破坏。因此,裘医生决定对系统做一次深入的“全面体检”。裘医生使用擅长调整修复系统的SREng来分析系统。一打开SREng就弹出警告信息,显示为API Hook错误(图3)。API HooK技术是一种用于改变API系统函数执行结果的技术,可以被病毒用来隐藏自身。裘医生点击“修复入口点错误”按钮以查出隐身的病毒。当SREng切换到“启动项目”选项时,马上弹出警告信息,提示注册表值Userinit被修改。病毒很可能通过该键值进行了加载,打开该键值发现被修改成了“C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\tGGRk.exe”,而正确的应该是“C:\WINDOWS\system32\userinit.exe,”修改回来并删除tGGRk.exe。通过上面的清除发现病毒文件有些是通过服务加载的。切换到“服务”选项,点击“Win32服务应用程序”按钮,在弹出的窗口果然发现了病毒的服务,接着就尝试删除所有病毒服务和病毒服务的映像文件。打开超级巡警,在超级巡警的“服务管理”选项,右键单击病毒服务,选择“删除服务和映像文件”命令即可。由于死神下载者病毒下载了木马病毒来控制感染病毒的电脑。接着就是清除死神带来的木马了。选择超级巡警的“进程管理”选项,检查Explorer.exe这个系统Shell进程发现了灰鸽子2007的服务端文件G_Server2007.dll,于是右键单击该文件选择“强制卸载标记模块”命令,然后删除该文件即可。
cookies是什么意思 Cookies是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、密码和关于用户兴趣取向的信息。而且,现在很多网站收到的Cookies文件中的用户名和密码甚至是以明文方式存放的,这样就更不安全了。因此,删除掉Cookies文件很有必要。www.sq120.com推荐文章如果你使用Windows 9X/Me,打开文件夹,删掉除index.dat外的所有文件。如果你使用Windows 2000/XP,则打开文件夹,然后删掉除index.dat外的所有文件即可。当然,我们也可以执行一个批处理命令,输入如下命令:xxcopy c:\windows\cookies\*.* /s /h /yy /rs /xindex.dat或者xxcopy "C:\Documents and Settings\Administrator\Cookies\*.*" /s /h /yy /rs /xindex.dat然后把它放到桌面上,随时清空cookies即可。另外,你也可以打开IE,选择“工具→Internet选项”,选中“隐藏”标签,再用鼠标调节Cookies滑杆到最高处,表示阻止Cookies(如图),这样就可以一劳永逸,用不着每次进行删除操作了。但有些论坛要求打开Cookies功能,如果不打开则不能正常访问这些论坛。From: